Троянская программа, скрывающая свое присутствие в системе от пользователя и других программ.
Инсталляция
Данная программа инсталлируется в систему вместе с другими вредоносными программами с целью скрытия их активности на зараженном компьютере.
После запуска троянец копирует свое тело в системный каталог Windows под именем "ctl_w32.sys":
%System%\drivers\ctl_w32.sys
Для автоматического запуска при каждом следующем старте системы троянец регистрирует следующую службу в реестре:
[HKLM\System\CurrentControlSet\Services\ctl_w32]
"Start" = "dword:0x00000003"
"Type" = "dword:0x00000001"
"ImagePath" = "%System%\drivers\ctl_w32.sys"
Деструктивная активность
Данная троянская программа пытается получить доступ к драйверу с именем "\\.\Rntm2", если таковой был предварительно установлен в систему.
После запуска вредоносная программа удаляет свой исходный файл.
Цифровые следы - ваша слабость, и хакеры это знают. Подпишитесь и узнайте, как их замести!